今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、台帳の整備(A.3.3.1 個人情報の特定)について、
ご説明します。

 

JIS Q15001:2017(附属書A)では、台帳の整備に関して以下の通り定めています。

=========================================

<個人情報の特定(A.3.3.1)>

組織は、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、
利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、
当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持されるようにしな
ければならない。

=========================================

JIS Q15001:2006では、個人情報を管理するための台帳に、

「個人情報の項目」「利用目的」「保管場所」「保管方法」「アクセス権限を有する者」

「利用期限」「件数」

を記載することを要求していましたので、変更点としては「件数」が除外され、「保管期限」
が追加されたことになります。ただし、「件数」はリスクアセスメントの際に必要になるため、
概数は把握しておくと良いでしょう。

 

また、JIS Q15001:2017(附属書B)を見ますと、上記に加えて、

・要配慮個人情報の存否 

・取得の形態(本人から直接書面によって取得するか否か)

・利用目的などの本人への明示又は通知の方法 

・本人同意の有無 

・本人への連絡又は接触及び第三者提供(共同利用を含む)に関する事項

・委託に関する事項

などを含めることが望ましい、と記されています。

 

プライバシーマーク取得事業者においては、上記を踏まえて、

 ① 「保管期限」「要配慮個人情報の存否」等、台帳に追加すべき項目の選定

 ②  ①を踏まえた、個人情報を管理する台帳の整備及び運用
を実施する必要があります。